Upozorenje o 2 Apple ranjivosti nultog dana

AUTOR · Published · Updated

Upozorenje o 2 Apple ranjivosti nultog dana koje se aktivno iskorištavaju za napad na korisnike iOS, iPadOS i macOS operativnih sistema, kao i Safari Internet pregledača.

Apple zero-day vulnerabilities

Upozorenje o 2 Apple ranjivosti nultog dana; Source: Bing Image Creator

RANJIVOSTI NULTOG DANA

Kompanija Apple prvu ranjivost nultog dana – označenu kao CVE-2023-42916, definiše kao kao problem čitanja van granica i može dozvoliti zlonamjernim akterima da otkriju osjetljive informacije tako što će namamiti žrtve na posebno kreiran Internet sadržaj.

Druga ranjivost je označena kao CVE-2023-42917 se odnosi na oštećenje podataka u memoriji (eng. memory corruption) omogućavajući napadačima da izvrše proizvoljan kôd na ciljanim uređajima nakon što namame žrtve da posjete posebno kreiran Internet sadržaj.

Ove dvije ranjivosti nultog dana su pronađene u WebKit pogonu pregledača (eng. browser engine) od strane sigurnosnog istraživača Clément Lecigne iz Google Threat Analysis Group (TAG). Kompanija Apple priznaje da bi ove ranjivosti nultog dana mogle biti pod aktivnom eksploatacijom, što posebno utiče na verzije iOS operativnog sistema starije od verzije 16.7.1.

Treba napomenuti i da drugi Internet pregledači dostupni na iOS i iPadOS operativnim sistemima, uključujući Google Chrome, Mozilla Firefox i Microsoft Edge i ostali pokreće WebKit mehanizam za prikazivanje sadržaja zbog ograničenja koje je nametnula kompanija Apple, što ga čini veoma pogodnom površinom napada za mnoge zlonamjerne aktere.

 

POGOĐENI UREĐAJI

Lista pogođenih uređaja je prilično velika i obuhvata:

  • iPhone XS i novije
  • iPad Pro 12.9” druge generacije i novije, iPad Pro 10.5“, iPad Pro 11” prve generacije i novije, iPad Air treće generacije i novije, iPad šeste generacije i novije i iPad mini pete generacije i novije
  • Mac uređaje sa macOS Monterey, Ventura i Sonoma operativnim sistemima.

Kompanija Apple kaže da je riješila bezbjednosne propuste za uređaje koji koriste iOS 17.1.2, iPadOS 17.1.2 i macOS Sonoma 14.1.2 operativne sisteme i Safari 17.1.2 sa poboljšanom validacijom unosa i zaključavanjem. Pored toga se radi i na watchOS 10.2 i tvOS 17.2 verzijama koji bi trebale da budu dostupne za nedjelju ili dvije, a sadržavaće ispravak za ovdje naveden ranjivosti.

 

ZAKLJUČAK

Kompanija Apple nije pružila dodatne informacije u vezi sa iskorištavanjem ovih ranjivosti, ali su ranije otkrivene ranjivosti nultog dana u iOS operativnom sistemu korišćeni za isporuku komercijalnog špijunskog softvera koji cilja na visokorizične pojedince, kao što su aktivisti, disidenti, novinari i političari.

Računajući ove dvije ranjivosti, kompanija Apple je otklonio čak 20 aktivno zloupotrebljavanih ranjivosti nultog dana od početka 2023. godine.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.